Решена Как решить проблему с нагрузкой системы от утилиты сравнения файлов dos 5?

  • Автор темы Автор темы Vladikz
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Vladikz

Новый пользователь
Сообщения
10
Реакции
0
Здравствуйте, утилита сравнения файлов dos 5 нагружает систему и есть оперативку. После снятия задачи в диспетчере задач она пропадает, но через время появляется снова. Я не совсем понял как прикрепить лог и где его взять, подскажите пожалуйста. И помогите если єто возможно решить эту проблему.
 
Доброго времени суток. Вот инструкция
 
C:\ProgramData\Edeline-below\bin.exe - знакомый софт?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\mZiXsclTU\sSfLFX.dll','');
 QuarantineFile('C:\Program Files (x86)\ybapIwrtawjiC\FzxJGgy.dll','');
 QuarantineFile('C:\Program Files (x86)\YzZgyISKYDGU2\PsTSmfqLlFcXf.dll','');
 QuarantineFile('C:\ProgramData\CwRtqreUpFNRPTVB\rilAcCF.wsf','');
 QuarantineFile('C:\Program Files (x86)\RIqcardxWCBTlFsyhWR\hSlHWKa.dll','');
 DeleteFile('C:\Program Files (x86)\RIqcardxWCBTlFsyhWR\hSlHWKa.dll','64');
 DeleteFile('C:\ProgramData\CwRtqreUpFNRPTVB\rilAcCF.wsf','64');
 DeleteFile('C:\Program Files (x86)\YzZgyISKYDGU2\PsTSmfqLlFcXf.dll','64');
 DeleteFile('C:\Program Files (x86)\ybapIwrtawjiC\FzxJGgy.dll','64');
 DeleteFile('C:\Program Files (x86)\mZiXsclTU\sSfLFX.dll','64');
 DeleteSchedulerTask('srxEETEDgqcyylacwqx2');
 DeleteSchedulerTask('snYHdXFWCNBLEJ');
 DeleteSchedulerTask('QcThtjsYMDWdn2');
 DeleteSchedulerTask('lTchCkNykdJVXteQW2');
 DeleteSchedulerTask('swqoTPfbbxwNYpB2');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Adobe Flash Player Updater" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDInstallLauncher" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDLinkUpdate" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\BlueStacksHelper" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\CreateExplorerShellUnelevatedTask" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\OneDrive Standalone Update Task-S-1-5-21-3048560869-1260373014-1997765219-1001" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera scheduled assistant Autoupdate 1581080388" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera scheduled Autoupdate 1572538274" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartCN" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartDVR" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\User_Feed_Synchronization-{EEF451BD-7EAF-446B-BDFB-2EDBF61A3979}" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)


  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
C:\ProgramData\Edeline-below\bin.exe - этот софт мне не знаком
1651409687225.webp

Подскажите пожалуйста что делать дальше с этими файлами.
Так-же прикрепил отчет к сообщению и сделал всё как вы сказали.
 

Вложения

C:\ProgramData\Edeline-below\bin.exe - загрузите VirusTotal, и дайте ссылку на результат сканирования.

что из найденного Adw используете?
 
++++
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
По первому вашему сообщению:
Из найденого использую только Zona.
Этот файл не найден в папке ProgramData ни ручным поиском ни поиском windows.
По второму:
Прикрепил отчёт.
 

Вложения

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку").
  • По окончанию сканирования снимите галочки со следующих строк с упоминанием Zona
  • нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {22D4BF67-86DD-483B-8F4B-33774A154BC3} - System32\Tasks\editor-accurate => C:\ProgramData\Edeline-below\bin.exe /H (Нет файла)
    Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd]
    2022-05-01 12:57 - 2022-05-01 15:44 - 000000000 ____D C:\ProgramData\CwRtqreUpFNRPTVB
    2022-05-01 12:57 - 2022-05-01 15:44 - 000000000 ____D C:\Program Files (x86)\RIqcardxWCBTlFsyhWR
    2022-05-01 12:57 - 2022-05-01 12:57 - 000000000 ____D C:\Program Files (x86)\UYXLlmDKqJUn
    2022-05-01 12:56 - 2022-05-01 15:44 - 000000000 ____D C:\Program Files (x86)\mZiXsclTU
    2022-04-16 17:27 - 2022-04-30 16:36 - 000000004 _____ C:\ProgramData\rc.dat
    2022-04-16 17:26 - 2022-04-30 16:36 - 000000004 _____ C:\ProgramData\lock.dat
    2022-04-16 17:26 - 2022-04-28 20:26 - 000000036 _____ C:\ProgramData\lir.bats
    2022-04-16 17:26 - 2022-04-16 17:26 - 000000008 _____ C:\ProgramData\ts.dat
    2022-04-16 17:26 - 2022-04-30 16:36 - 000000004 _____ () C:\ProgramData\lock.dat
    2022-04-16 17:27 - 2022-04-30 16:36 - 000000004 _____ () C:\ProgramData\rc.dat
    2022-04-16 17:26 - 2022-04-16 17:26 - 000000008 _____ () C:\ProgramData\ts.dat
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP3\System\aimp_menu64.dll -> Нет файла
    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP3\System\aimp_menu64.dll -> Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепил отчёт после перезагрузки пк.
 

Вложения

Скоро прикреплю.
 
Последнее редактирование:
Прикрепил отчёт. Подскажите пожалуйста, что делать вот с этим:
C:\ProgramData\Edeline-below\bin.exe, не могу его найти нигде
 

Вложения

Утилита показала, что файла нет, только запись. По нему отбой. Проверяйте, что с проблемой.
 
Спасибо вам огромное, святой человек! Безумно благодарен, проблема пропала и за это время не появлялась.
 
Тогда завершающие шаги.
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Исправьте по возможности.
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.9.7 (3931) Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 85.0.4341.75 v.85.0.4341.75 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.100.0.4896.88 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^


И удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу